Select Language : English 日本語

南北アメリカ

ブラジル: English / 日本語 / Português do Brasil
アメリカ: English

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:
(ベルギー, フランス, ドイツ, オランダ, スペイン, アラブ首長国連邦, イギリス)
English / 日本語 / Español / Deutsch / Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

ニュース

このページのPDFを開く

 

2014-R071

2014年6月18日

NTTコミュニケーションズ株式会社
NTT Com Security AG

「WideAngleマネージドセキュリティサービス」の
総合ログ分析・リスク検知機能を強化し検知率を大幅に向上
~標的型攻撃を含む未知のセキュリティ脅威に対する検知率500%向上を実現~

NTTコミュニケーションズ(略称:NTT Com)は、WideAngleマネージドセキュリティサービスのセキュリティ運用基盤において、お客さまの各種ICT機器から収集したログを分析するSIEM*1エンジン(別紙1)を強化し、セキュリティ脅威に対する検知率を大幅に向上させたサービスの提供を、2014年6月より開始します。

今回の機能強化では、セキュリティ脅威の分析を担うSIEMエンジンにおいて、ログ収集対象機器の拡張や、大量のログを相関分析・自動検知するロジックを300種以上に拡充することにより、標準型攻撃を含む、未知のセキュリティ脅威の検知率500%向上*2を実現しました。

1.背景

新種のウィルスが蔓延し、巧妙な手口による不正アクセスなどのセキュリティリスクが増加するなか、企業が機密情報や顧客情報を守るためには、未知のサイバー攻撃により万が一侵入されたとしてもそれらを検知し、情報漏えいを水際で防ぐことができる情報セキュリティ対策が必要不可欠となっています。(別紙2)

こうした中、NTT Comは、企業の情報セキュリティ運用を担う「WideAngleマネージドセキュリティサービス(MSS)」の完全自社開発であるSIEMエンジンをバージョンアップすることにより、巧妙化するセキュリティ脅威に対する検知率を大幅に向上させました。

2.概要

WideAngleマネージドセキュリティサービスは、ファイヤーウォール(FW)・侵入防御装置(IPS)・アンチウィルスソフトウェアなどのセキュリティ機器によって実現している発見済みウィルスや過去にあった攻撃とパターンマッチングする分析に加えて、これら複数のセキュリティ機器から生成されるログと、Webサーバー・認証サーバー・Webプロキシーサーバー・データベースサーバー・ネットワーク機器などの非セキュリティ機器から生成される膨大なログを相関分析することで、未知の脅威も含めた高精度の検知機能を有しています。

今回、この検知機能・検知スピードの更なる向上のため、リスクアナリストの知見を相関分析ロジックとして300種以上に拡充、SIEMエンジンへ組み込むことで自動分析機能を大幅に改善しました。また、リスクアナリストの詳細分析をアシストする機能も強化し、検知漏れや誤検知・脅威の見逃しを改善、標的型攻撃を含む未知のセキュリティ脅威に対して、検知率500%向上を実現するともに重篤度をランク化し対応優先度をわかりやすくしました。

(1) 多角的な分析ロジックの追加(別紙3)

標的型攻撃では、サーバーなどの新たな脆弱性を突いて攻撃を開始し、攻撃者の設置したサーバーから攻撃用のマルウェアをダウンロードしてPCやサーバーを感染させ、その後感染機器を拡大したり、重要データへのアクセスを試みたりする連続的な攻撃行動「キルチェーン」が見られます。FWやIPS/IDSなどのセキュリティ機器向けの分析ロジックに加え、そのような攻撃ステップを解析する「キルチェーン検知」などのロジックを追加することにより、情報漏洩前に遮断することが可能となります。

また、他サイトから漏洩したIDとパスワードの組み合わせを同一のIPアドレスから大量に試行する「リスト型攻撃」は、従来、既存のセキュリティ機器では検知することが困難でしたが、数時間単位の長い期間での攻撃状況をスコア化し、不審な動作を検知したり、攻撃の段階、被害範囲、感染源となる攻撃者のIPアドレス、感染が確実となったPCやサーバーを即時特定する「ブースト(傾向分析)」などのロジックを追加することにより、その後の攻撃の遮断、早期対応が可能となります。

(2) 3種類の時系列分析の改良(別紙4)

機器の通信や動作ログを即時解析する「リアルタイム検知」や過去のログを一定期間経過後に分析する「バッチ処理検知」に加え、攻撃された疑いのあるログを基に、以後発生する関連ログを継続的に分析する「スライディングウィンドウ処理検知」など、過去・現在・未来の一連の流れに着眼したアプローチにより、分析ロジックを改良します。

本改良により、分散させた攻撃箇所からの攻撃や、なりすましによるログインなど時間軸とロケーションなどの複合的な分析による、脅威の早期検知、対応が可能となります。

(3) セキュリティ検知対象機器の拡充

WideAngleプラットフォームにてセキュリティ監視・分析可能な機器ラインナップを8社/66機種に拡大し、より多くのお客さまへ「WideAngleマネージドセキュリティサービス」の提供が可能になります。

3.料金

既存の「WideAngleマネージドセキュリティサービス」をご利用のお客さまについて、本バージョンアップに伴う、料金変更はございません。

※本バージョンアップ機能を効果的にご利用いただくには、非セキュリティ機器との相関分析サービス(CLA)をご契約いただくことをお勧めします。

4.提供開始日

2014年6月提供開始

5.今後の展開

「WideAngleマネージドセキュリティサービス(MSS)」のセキュリティ運用基盤におけるSIEMエンジンバージョンアップだけではなく、セキュリティ分析ログをお客さま企業内で保管したまま、NTT Comにてセキュリティ脅威に対する分析ができるようにしたオンプレミス張出型ログ処理・SIEM処理装置(Mini-PoD*3)の提供(2014年7月予定)、自動脅威通知レポートの重要度に基づく発出や内容の詳細化、分析可能な対象設備の拡大、個別のお客さま向けの検知ロジック投入、リスクアナリストの分析業務で得たノウハウを検知ロジックとしてSIEMエンジンに定期的に取り込むなど、継続的な最適化と機能拡充に努めていきます。


*1:Security Information and Event Management(セキュリティ関連の各種情報の管理、相関分析)の略称。

*2:当社比。

*3:Production On Demand(パッケージ化したセキュリティ運用基盤)の略称。

本件に関するお問い合わせ先

NTTコミュニケーションズ

経営企画部

マネージドセキュリティサービス推進室

英(はなふさ)

03-6800-8346

このページのトップへ